Особенности обеспечения безопасности в компьютерных сетях
Компьютерные сети самим своим существованием создают дополнительные трудности для обеспечения информационной безопасности организаций -- владельцев этих сетей. Эти проблемы многократно возрастают, если корпоративная сеть имеет связь с глобальной сетью Интернет. Согласно одному из опросов, проведенных в США, свыше 30-ти респондентов заявили, что понесли финансовые потери в результате вторжений в информационную систему. Общая сумма потерь 32 респондентов составила 66 млн. дол. Распределение убытков по способам нанесения таково: 1 млн. дол. приходится на подслушивание переговоров, 300 000 -- на разного рода фальсификации, 1 млн. -- на прямые врезки в кабельную систему, 10 млн. -- на злоупотребления конфиденциальной информацией и 50 млн. дол. -- на проникновение в систему извне. По данным компании Klarence M. Kelly Investigations, средний убыток от мошенничества сотрудников составляет 23 500 дол., если же мошенничество совершается с применением компьютера, сумма убытка возрастает до 500 000 дол.
В начале 1996 г. Computer Security Institute (CSI, Сан-Франциско) совместно с Отделом международных компьютерных преступлений ФБР тщательно обследовали 428 организаций: коммерческих компаний из списка Fortune 500, финансовых и медицинских учреждений, правительственных организаций и крупных университетов. Результаты этого исследования показали полную неготовность этих организаций к защите от компьютерных преступлений и нет уверенности в том, что угроза таких преступлений не может быть вполне реальной. Более чем в 50% организаций-респондентов отсутствуют письменные инструкции о действиях в случае вторжения в сеть. Более 60% организаций не имеют инструкций о сохранении вещественных доказательств вторжения для последующего представления на гражданском или уголовном судебном разбирательстве. Мало того, более 20% организаций вообще не знают, подвергались они вторжению или нет.
Нормативные акты РБ об информатизации и защите информации
Понятие компьютерной преступности
В 1983 году Организация экономического сотрудничества и развития определила под термином "компьютерная преступность" (или "связанная с компьютерами преступность") любые незаконные, неэтичные или неправомерные действия, связанные с автоматической обработкой данных и/или их передачей. Данный термин, возникший первоначально как средство для обозначения появившихся новых способов совершения преступлений, по своему содержанию давно уже перерос в криминологическое понятие, обозначающее самостоятельный вид преступности. В настоящее время этот вид преступности включает в себя в зависимости от уголовно-правового регулирования в тех или иных стран уже целый перечень такого рода деяний и способов их совершения.
На международном уровне факт угрозы компьютерной преступности впервые был признан в 1985 году на VI1 Конгрессе ООН по профилактике преступлений и обращению с правонарушителями. Следующий VII Конгресс ООН по профилактике преступлений и обращению с правонарушителями (Гавана, 1990 г.) рекомендовал международной общественности выработать универсально применимые стандарты и нормы, гарантирующие надежное использование компьютерных систем и средств телесвязи. В специальной резолюции "Преступления, связанные с применением компьютеров" была намечена целая программа мер как на национальном, так и на международном уровнях в этом направлении.
Международная организации уголовной полиции рассматривает компьютерную преступность в одном ряду с такими новыми категориями преступлений, как захват заложников, угон самолетов, "экологический бизнес'', международные синдикаты наемных убийц Поэтому не случайно в 1991 году по решению 19-й Европейской Региональной Конференции Интерпола при Генеральном Секретариате была создана Рабочая группа по компьютерным преступлениям, объединившая в своих рядах специалистов из 16 Европейских государств. К сожалению, в данном органе не были представлены эксперты от СНГ и государств Восточной Европы.
По мере развития компьютерной техники и освоения ею различных жизненно важных сфер человеческой деятельности происходило изменение компьютерной преступности. Можно выделить три этапа ее развития.
Первый этап характеризуется появлением преступлений, совершенных с помощью компьютерной техники. Они имели в основном корыстную направленность и использовались в традиционных видах преступлений. Квалифицировали их в соответствии с имеющимся уголовным законодательством. Подобного рода деяний имели место внутри организаций и предприятий, использующих вычислительную технику. При этом совершали преступления, как правило, служащие, имевшие доступ к ЭВМ.
На втором этапе компьютеры начали использовать не только для совершения преступлений “белых воротничков”, но и в целях вымогательства, шпионажа и саботажа. Появление “чистых” компьютерных преступлений не подпадало под действие уголовного законодательства. Вместе с тем, общественная опасность этих деяний требовала доработки имеющихся составов преступлений или введения новых.
В связи с этим в разных странах были разработаны предложения по криминализации следующих деяний:
G ввод фальсифицированных данных или записей в компьютер в мошеннических целях;
G несанкционированного использования компьютерного оборудования, изменения или уничтожения информации или файлов;
G кражи денег, финансовых документов, имущества, услуг или ценных данных с помощью электронных устройств и т.п.
Рост технических средств связи, с одной стороны, позволил соединить отдельные терминалы и локальные сети в единую систему, а с другой – позволил злоумышленникам использовать компьютер для проникновения в сеть по каналам связи. Появилась возможность совершения компьютерного преступления на расстоянии. Для этого достаточно было знать координаты системы и коды преодоления защитных средств.
Третий этап соответствует современному состоянию компьютерной преступности. Среди компьютерных преступлений выделяют следующие основные формы:
G махинации путем компьютерного манипулирования системой обработки данных в целях получения финансовой выгоды;
G компьютерные шпионаж и кража программного обеспечения;
G компьютерные диверсии;
G кража услуг (времени), неправомерное использование системы обработки данных;
G неправомерный доступ к системам обработки данных и “взламывание” их;
G традиционные преступления в сфере бизнеса (экономики), совершаемые с помощью обработки данных.
Следующим после законодательного можно назвать управленческий уровень. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен обеспечить управленческий уровень, - это выработать политику обеспечения информационной безопасности, определяющую общему направлению работ.
Применительно к персоналу, работающему с информационными системами, используются организационные и программно-технические меры обеспечения информационной безопасности. Сюда следует отнести методики подбора персонала, его обучения, обеспечения дисциплины, а также средства "защиты от дурака". Важным элементом являются также меры по физической защите помещений и оборудования.
Организационно-экономические методы защиты информации предусматривают формирование и обеспечение функционирования следующих механизмов защиты:
G стандартизации методов и средств защиты информации;
G сертификации компьютерных систем и сетей по требованиям информационной безопасности;
G лицензирование деятельности в сфере защиты информации;
G страхование информационных рисков, связанных с функционированием компьютерных систем и сетей;
G контроль за действием персонала в защищенных информационных системах.
Организационные методы защиты информации делятся на организационно-административные и организационно-технические методы защиты.
Организационно-административныеметоды защиты информациирегламентируют процессы создания и эксплуатации автоматизированных информационных систем, а также взаимодействие пользователей и систем таким образом, что несанкционированный доступ к информации становится либо невозможным, либо существенно затрудняется. Организационные методы зашиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем.
К организационно-административным мероприятиям защиты информации относятся:
G выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;
G выделение специальных ЭВМ для обработки конфиденциальной информации;
G организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;
G использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;
G организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;
G организация регламентированного доступа пользователей к работе на ЭВМ, средствах связи и в хранилищах носителей конфиденциальной информации;
G установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;
G разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации;
G постоянный контроль за соблюдением установленных требований по защите информации.
Организационно-техническая защита информации обеспечивается осуществлением следующих мероприятий:
· ограничение доступа посторонних лиц внутрь корпуса оборудования за счет установки механических запорных устройств или замков;
· отключение ЭВМ от локальной вычислительной сети или сети удаленною доступа при обработке на ней конфиденциальной информации, кроме случаев передачи этой информации по каналам связи;
· использование для отображения конфиденциальной информации жидкокристаллических или плазменных дисплеев, а для печати - струйных принтеров или термопечати с целью снижения утечки информации по электромагнитному каналу. При использовании обычных дисплеев и принтеров с этой же целью рекомендуется включать устройства, создающие дополнительный шумовой эффект (фон) - кондиционер, вентилятор или обрабатывать другую информацию на рядом стоящей ЭВМ;
· установка клавиатуры и печатающих устройств на мягкие прокладки с целью снижения утечки информации по акустическому каналу;
· размещение оборудования для обработки конфиденциальной информации на расстоянии не менее 2,5 метров от устройств освещения, кондиционирования, связи, металлических труб, теле- и радиоаппаратуры;
· организация электропитания ЭВМ от отдельного блока питания (с защитой от побочных электромагнитных излучений или от общей электросети через стабилизатор напряжения);
· использование источников бесперебойного питания (БИП) персональных компьютеров для силовых электрических сетей с неустойчивым напряжением и плавающей частотой.
Программно-техническая подсистема комплексной защиты объектов информационной безопасности включает: физические, аппаратные, программные, аппаратно-программные, криптографические методы и средства защиты информации..
Физические средства защиты предназначены для внешней охраны территории объектов, защиты ЭВМ, систем и объектов на базе вычислительной техники. В настоящее время используются преимущественно чисто механические средства физической защиты при доминирующем участии человека. Однако, достижения микроэлектроники и появление микропроцессоров создали объективную базу для разработки и внедрения универсальных автоматизированных электронных систем физической защиты, предназначенных для охраны территории, охраны помещений, организации пропускного режима, организации наблюдения, систем пожарной сигнализации, систем предотвращения хищения носителей Элементную базу таких систем составляют различные датчики, сигналы которых обрабатываются микропроцессорами, электронные интеллектуальные ключи и замки на микропроцессорах, устройства определения биометрических характеристик человека и т.д.
Современные физические средства защиты предоставляют широкие возможности для решения многих задач обеспечения информационной безопасности. Так, для организации охраны оборудования (узлов и блоков компьютеров, средств передачи данных) и перемещаемых носителей информации (дискеты, магнитные ленты, распечатки) можно использовать:
G различные замки (механические, с кодовым набором, с управлением от микропроцессора, радиоуправляемые), которые устанавливают на входные двери, ставни, сейфы, шкафы, устройства и блоки системы, микровыключатели, фиксирующие открывание или закрывание дверей и окон;
G инерционные датчики, для подключения которых можно использовать осветительную сеть, телефонные провода и проводку ТВ-антенн;
G специальные наклейки из фольги или другого магнитопроводного материала, которые наклеиваются на все документы, приборы, узлы и блоки системы для предотвращения их выноса из помещения. При этом около выхода из охраняемого помещения размещается специальная установка, принцип действия которой аналогичен действию детектора металлических объектов. Эта установка подает сигнал тревоги при любой попытке вынести за пределы помещения предмет с наклейкой;
G специальные сейфы и металлические шкафы для установки в них отдельных узлов и блоков компьютера для вычислительной системы (принтер, файл-сервер т.п.) и перемещаемых носителей информации (магнитные ленты, диски, распечатки).
Для нейтрализации утечки информации по электромагнитным каналам используют экранирующие и поглощающие материалы и изделия:
G экранизация рабочих помещений, где установлены системы электронной обработки и передачи данных, осуществляется путем покрытия стен, пола и потолка металлизированными обоями, токопроводящей эмалью и штукатуркой, проволочными сетками или фольгой, установкой загородок из токопроводящего кирпича, многослойных стальных, алюминиевых или из специальной пластмассы листов;
G для защиты окон применяют металлизированные шторы и стекла с токопроводящим слоем;
G все отверстия закрывают металлической сеткой, соединяемой с шиной заземления или настенной экранировкой;
G на вентиляционных каналах монтируют так называемые предельные магнитные ловушки, препятствующие распространению радиоволн.
Для защиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации, а также на коммуникационные электрические цепи, широко используют:
G экранированный кабель для внутристоечного, внутриблочного, межблочного и наружного монтажа;
G экранированные эластичные соединители (разъемы), всевозможные сетевые фильтры подавления электромагнитных излучений;
G провода, наконечники, дросселя, конденсаторы и другие помехоподавляющие радио- и электроизделия;
G на водопроводных, отопительные газовых и других металлических трубах помещают разделительные диэлектрические вставки, которые осуществляют разрыв электромагнитной цепи.
Для контроля электропитания могут использоваться электронные отслеживатели - устройства, которые устанавливаются в местах ввода сети переменного напряжения. Если шнур питания перерезан, оборван или перегорел, кодированное послание включает сигнал тревоги или активирует ТВ-камеру для последующей записи событий.
Аппаратные средства защиты представляют собой различные электронные, электронно-механические и другие устройства, непосредственно встроенные в серийные блоки электронных систем обработки и передачи данных или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначаются для внутренней защиты структурных элементов ЭВМ, средств и систем вычислительной техники: терминалов, устройств ввода-вывода, процессоров, периферийного оборудования, линий связи и т.д.
Основные функции аппаратных средств защиты информации:
G запрещение несанкционированного доступа к вычислительной системе;
G запрещение несанкционированного внутреннего доступа к отдельным файлам или базам данных вычислительной системы, возможного в результате случайных или умышленных действий обслуживающего персонала;
G защита активных и пассивных (архивных) файлов и баз данных, связанная с необслуживанием или отключением вычислительной системы из сети ЭВМ;
G защита целостности программного обеспечения посредством:
· идентификации субъектов (пользователей, обслуживающего персонала) и объектов (ресурсов) системы;
· аутентификации субъекта по предъявленному им идентификатору;
· проверки полномочий, заключающейся в проверке соответствия дня недели, времени суток;
· регистрации (протоколирования) при обращении к запрещаемым ресурсам;
· реагирования (задержки выполнения работ, отказа в обслуживании, тревожной сигнализации) при попытках несанкционированного доступа к защищаемым ресурсам
Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения систем обработки данных, либо в состав средств, комплексов и систем аппаратуры контроля. Они являются наиболее распространенным видом защиты, так как универсальны, гибки, просты в реализации, возможности изменения и развития. Это обстоятельство делает их одновременно и самыми распространенными, и самыми уязвимыми элементами защиты информационных систем.
С помощью программных средств защиты решаются следующие задачи информационной безопасности:
G контроль загрузки и входа в систему с помощью персональных идентификаторов (имя, код, пароль и т. п.);
G разграничение и контроль доступа субъектов к системным и пользовательским ресурсам;
G изоляция программ процесса, выполняемого в интересах конкретного субъекта от других субъектов;
G управление потоками конфиденциальной информации с целью предотвращения записи на магнитные носители данных несоответствующего уровня (грифа) секретности;
G защита файлов от вирусных инфекций;
G автоматическое полное или выборочное стирание остаточной конфиденциальной информации на магнитных дисках;
G автоматический контроль за работой пользователей на ЭВМ на базе результатов протоколирования и подготовка отчетов по данным записей в системном регистрационном журнале.
В настоящее время создано большое количество операционных систем, систем управления базами данных, сетевых пакетов и пакетов прикладных программ, включающих разнообразные средства программной защиты информации.
Аутентификация - проверка идентификатора пользователя, обычно осуществляемая перед разрешением доступа к ресурсам автоматизированной информационной системы. Существуют следующие методы аутентификации:
G По знаниям (Парольная защита) - обычно используется механизм паролей в той или иной реализации. Для того, чтобы подтвердить свои права на доступ, достаточно сообщить системе секретный ответ на ее запрос. Преимущества данного метода - простота реализации и дешевизна, недостаток - невысокая надежность. Если злоумышленник каким-либо образом узнал пароль, то система не сможет отличить его от легального пользователя.
G по имуществу (Touch-memory, Smart-карты) - для подтверждения своих прав необходимо предъявить системе некий "ключ" - предмет, уникальный для каждого пользователя и защищенный от подделки Вариантов реализации такого метода аутентификации достаточно много В качестве примеров могут служить магнитные и smart-карты К преимуществам данного метода можно отнести относительно невысокую стоимость реализации, к недостаткам - требование наличия дополнительного оборудования и трудности в управлении масштабными системами защиты на основе этого метода.
G по навыкам (Клавиатурный почерк, Роспись) - системе защиты необходимо продемонстрировать какие-то умения, недоступные для других пользователей и плохо поддающиеся подделке. К преимуществам реализации такого метода доказательства прав на доступ можно отнести' возможность сокрытия процесса аутентификации от пользователя, например, он может и не подозревать о том, что в данный момент система проверяет его манеру печатания на клавиатуре, а также - высокую надежность аутентификации. К недостаткам этого метода относятся: сложность реализации и дороговизна, а также необходимость в дополнительном оборудовании и больших вычислительных ресурсах.
G по уникальным параметрам (Отпечатки пальцев, сетчатка глаза, голос) - самый надежный метод аутентификации. В нем используется сравнение каких-либо параметров человеческого тела с их цифровыми образами, записанными в память системы разграничения доступа. Преимущество этого метода состоит в высокой надежности аутентификации пользователя, недостатки - в высокой цене и необходимости наличия дополнительного оборудования.
Для аутентификации пользователей по уникальным параметрам используется целый спектр биометрических параметров, в том числе:
· отпечатки пальцев (осуществляется сканирование кожного рисунка пальцев пользователей; в случае доступа к системе производится сравнение свежих отпечатков с хранящимися в памяти);
· характеристики ладони (осуществляется сканирование индивидуальных характеристик ладоней, которые используются в качестве основных признаков в идентификационных целях);
· анализ геометрии ладони руки (используются такие параметры, как длина пяти пальцев каждой руки и др.);
· анализ речевых фонем (речевой сигнал переводится в цифровую форму, а затем производится сравнительный анализ речевых фонем с образцами, хранящимися в памяти);
· сканирование остаточного изображения сетчатки глаза (это один из наиболее удачных методов для получения доступа к компьютерным системам, сканирующий прибор заключен внутри бинокулярной камеры; идентификация осуществляется посредством сравнения с запасенными данными в компьютерном файле);
· анализ почерка (используются такие характеристики почерка, как давление пера на бумагу, наклон букв, ускорение пера и время написания фамилии и имени владельца).
Криптографические методы зашиты представляют собой методы защиты данных с помощью криптографического преобразования, под которым понимается преобразование данных шифрованием или выработкой имитовставки.
Основные криптографические методы защиты информации:
G шифрование с помощью датчика псевдослучайных чисел заключается в генерации гаммы шифра с помощью датчика псевдослучайных чисел и наложении полученной гаммы на открытые данные обратимым образом;
G шифрование с помощью криптографических стандартов шифрования данных (с симметричной схемой шифрования), использующих проверенные и апробированные алгоритмы шифрования данных с хорошей криптостойкостью, например, американский стандарт шифрования данных DES, отечественный стандарт - ГОСТ 28147-89;
G шифрование с помощью систем с открытым ключом (с асимметричной схемой шифрования), в которых для шифрования данных используется один ключ, а для расшифрования другой. Первый ключ не является секретным и может быть опубликован для использования всеми пользователями системы. Второй ключ является секретным и используется получателем зашифрованной информации для ее расшифрования. Примером может служить метод RSA криптографической защиты информации с известным ключом.
Наиболее уязвимый уровень с точки зрения защиты - сетевой. На нем формируется вся маршрутизирующая информация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Протоколами сетевого уровня обрабатываются пакеты на всех маршрутизаторах, шлюзах и других промежуточных узлах. Почти все специфические сетевые нарушения осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельных сообщений или потока в целом, маскировка под другой узел и т.д.). Защита от всех подобных угроз осуществляется с помощью средств криптозащиты. На данном уровне может быть реализована и выборочная маршрутизация.
Эксперты предупреждают (2004 г.), что методы, с помощью которых мошенники пытаются завладеть конфиденциальной информацией о пользователях интернета, скоро станут гораздо изощреннее, так что стоит быть повнимательнее и не оставлять личные данные на сайтах, пишет ББС.
Чтобы не поддаться на происки мошенников рекомендуется ограничить количество личной информации, которую пользователи сообщают о себе в интернете. Мошенники сначала собирают персональные сведения о потенциальных жертвах, а затем, ориентируясь на эту информацию, рассылают им от имени компаний или знакомых весьма достоверно выглядящие письма с ссылками на поддельные сайты.
Не сумев различить фальшивку, многие пользователи стали жертвами мошенников, без всяких задних мыслей предоставив им такую информацию, как имена пользователей, пароли и номера
Чтобы у жертвы не возникло сомнений относительно подлинности сайта, на который ее заманили, мошенники используют немало различных хитростей. Такие фальшивые сообщения смогут в будущем обмануть до 50% пользователей. Статистика показывает, что на сегодняшний день около 3% пользователей "попадаются" на удочку мошенников.
Контрольные вопросы
1. Какое понятие шире – информационная безопасность или компьютерная безопасность.
2. Какую информационную систему можно считать безопасной.
3. Какие факторы в наибольшей мере способствуют нарушению безопасности информационной системы.
4. Перечислите политические, экономические, организационно-технические угрозы безопасности информационной системы.
5. Перечислите глобальные, региональные, локальные угрозы безопасности информационной системы.
6. Основные элементы организационно-экономической защиты информации.
7. Основные элементы программно-технической защиты информации.
8. Нормативные акты Республики Беларусь, обеспечивающие защиту информации.
Литература
1. Компьютерные информационные технологии: Учебно-практическое пособие / А.Н. Морозевич, А.К. Голенда, Б.А. Железко и др./ Под ред. А.Н. Морозевича. – Мн.: БГЭУ, 2003. –128 с.
2. Михеева Е.В. Информационные технологии в профессиональной деятельности: Учебное пособие. – М.: Издательский центр «Академия», 2004.
3. Информационные системы и технологии в экономике: Учебник / Под ред. проф. В.В.Трофимова. – М.: Высшее образование, 2006.
Основные понятия
Информационная безопасность -защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Конфиденциальность информации – доступ к информации имеет только легальный пользователь, для остальных доступ закрыт;
Целостностьинформации – информация изменяется только уполномоченными лицами, и предоставляемые данные подлинные;
Доступность информации – авторизованные пользователи имеют постоянный доступ к информации и ресурсам;
Законность информации – ресурсы не могут использоваться людьми, не имеющими на это права;
Безотказность информации – информация доступна уполномоченным лицам в любой момент времени без сбоев.
Политика безопасности – система мер, направленных на обеспечение защиты информации, которая гарантирует безопасность важной для бизнеса информации.
Угроза информационно безопасности –возможность нарушения безопасности информационной системы.
Защита информации – меры по предотвращению нарушения безопасности информационной системы.
Компьютерная преступность - любые незаконные, неэтичные или неправомерные действия, связанные с автоматической обработкой данных и/или их передачей.
Правовое обеспечение безопасности информационных систем – совокупность нормативно-правовых актов, регламентирующих правоотношения в сфере безопасности информационных систем.
Организационно-экономическое обеспечение безопасности информационных систем –совокупность мероприятий, регламентирующих взаимодействие пользователей и систем, а также процессы создания и эксплуатации автоматизированных информационных систем с целью обеспечения защиты информации.
Программно-техническое обеспечение безопасности информационных систем –средства логических и интеллектуальных функций защиты, а также технические средства внутренней защиты вычислительной системы.
Аутентификация - проверка идентификатора пользователя, осуществляемая перед разрешением доступа к ресурсам автоматизированной информационной системы.
Криптографические методы зашиты - методы защиты данных с помощью криптографического преобразования, под которым понимается преобразование данных шифрованием или выработкой имитовставки.